О секурности http-сервисов в 1с83

  1. 9 г. назад
    22.12.2015 17:53:16 отредактировано bvn13

    Хочу покалякать.

    Если мне нужно веб-форму управления статусами заявок для директора запилить, но чтоб никто кроме не ломился, то как бы организовать авторизацию? Понятно, что могу в каждый урл пихать логин-пароль, указывая параметры шаблонов, но это ж верх несекурности.

    Каков рациональный выход?

    Приму и рассмотрю самые нестандартные подходы (даже пропихивание этих логин-паролей из урла в com-коннектор).

    Ответы: (2) (17) (19)
  2. Хэш пароля слитого со случайной последовательностью передавать

    Ответы: (3)
  3. (0) почему бы не замутить авторизацию средствами апача?

    Ответы: (3)
  4. (2) когда на линухе буду тестить, может, и замучу. но я не знаю пока, как.
    (1) ну это как-то банально :) но за неимением лучшего, конечно, да.

  5. Запили ему мобильное приложение - оценит ) Только опять таки урл светить не надо

    Ответы: (5)
  6. (4) не, не варик пока. нужно, чтобы через наш уже написанный портал работало. т.е. в любом браузере.

  7. uuid какой либо передавай в заголовках.

  8. сертификат сгенери ему и всё

    Ответы: (8) (14)
  9. (7) а если он с разных девайсов будет заходить? ему серт с собой таскать? не... там надо, чтоб была кнопка "сделать хорошо".

    Ответы: (9)
  10. (8) у тебя в портале будет прописан имя пользователя и пароль, порталом и авторизируй.

    Ответы: (10)
  11. (9) понятно, что пароль и логин лучше оттуда проксировать. но как организовать защиту от брутфорса, например?

    Ответы: (13)
  12. окуели так много слов неизвестных!

    Ответы: (12)
  13. (11) пшол ввон из тематической ветки!

  14. (10) никак, даже для 1с ты не можешь заблокировать брутфорс, у меня журнал регистрации выгружается в elasticsearch и там настроен триггер, если за 5 минут, больше чем 5 раз была ошибка авторизации, тогда дергает вебсервис который блокирует пользователя до выяснения обстоятельств. 5 раз пришлось добавить, т.к. в случаи kerberos авторизации всегда есть ложное одно срабатывание, а потом по kerberos делает успешное соединение.

  15. Я за сертификат, ибо просто логин/пароль - крайне не секурно

    sapphire сертификат сгенери ему и всё

    Ответы: (16) (20)
  16. + и пусть ходит с одного девайса и не [...]

  17. (14) это НИИ. и тут всех нии, что надо ходить только с одного устройства :) не айс, в общем.

    Ответы: (18) (20) (21) (22) (23)
  18. (0) почему бы не замутить просто доменную авторизацию 1с?

    Ответы: (19)
  19. bvn13 Если мне нужно веб-форму управления статусами заявок для директора запилить

    >> Если мне нужно веб-форму управления статусами заявок для директора запилить

    Из этого я понял, что пользователь, как минимум, один

    Ответы: (24)
  20. MIK (0) почему бы не замутить просто доменную авторизацию 1с?

    доменная авторизация в интернетах?

  21. bvn13 (14) это НИИ. и тут всех нии, что надо ходить только с одного устройства :) не айс, в общем.

    + установку сертификата тоже можно автоматизировать

  22. (16) запили ему на телеграме тады

    Ответы: (22) (23)
  23. sapphire (16) запили ему на телеграме тады

    каким макаром?

    Ответы: (25) (26)
  24. sapphire (16) запили ему на телеграме тады

    телеграммы от почты роисси? :)

    Ответы: (26)
  25. Барматолог >> Если мне нужно веб-форму управления статусами заявок для директора запилить

    Из этого я понял, что пользователь, как минимум, один

    Как минимум, да. Один. Но максимум пока не озвучен. И привязка к юзверям 1С-ки - тоже неясна: нужно ли или нет.

  26. (22) бот написать, апи открытое, через секурный трёп его спросить и усе

  27. (22)(23)
    https://core.telegram.org/mtproto

или зарегистрируйтесь чтобы ответить!